SAS令牌安全事件发生两年后，微软终于承认泄露了38TB数据

微软日前终于承认，两年前错误地泄露了公司员工的38TB私人数据，包括密码、私钥和Teams消息。这一网络安全事件发生在2020年7月，直到今年早些时候才被发现。

SAS令牌是数据泄露元凶

微软表示，那次泄漏事件的原因是该公司的Azure云平台上共享了一个配置错误的Blob存储桶，同时将开源人工智能学习模型分享给了公共GitHub存储库。

微软认为，大量泄露的数据与使用了一种共享访问签名(SAS)令牌有关，该令牌允许对泄露的文件进行完全访问和控制。

微软创建SAS令牌是为了将存储帐户内的适当数据访问级别分配给公司中的不同员工。这些令牌可以精确地分配访问权限，直至指定客户端可以与之交互的资源、他们可以访问的内容、他们对这些资源的权限以及可以持续访问多长时间。

安全服务商Wiz的研究人员发现了这一漏洞，并将此类令牌的使用描述为“难以监控和撤销”。

Wiz警告说，“对这些令牌的监控措施似乎是不够的。由于缺乏监控和治理，SAS令牌构成了安全风险，它们的使用应该尽可能受到限制。这些令牌很难追踪，因为微软没有提供在Azure门户中管理它们的集中方式。”

Wiz研究团队表示，“这些令牌可以配置为永久有效，没有到期时间。因此，使用countSAS令牌进行外部共享是不安全的，应该完全避免。”

微软泄露了哪些数据?

据报道，微软泄露的数据包括来自359名员工的3万多条MicrosoftTeam内部信息，以及MicrosoftServices的密码和密钥。

在被告知泄露的两天后，该公司在6月24日撤销了SAS令牌，阻止了对Azure存储帐户的所有外部访问。

不过微软当时坚称，此次泄露事件没有泄露客户的任何数据，也没有其他内部服务由于此次泄露而面临危险，并表示已于8月16日完成了对此次泄露事件对该公司影响的调查。

为了降低再次发生类似事件的风险，微软在2022年12月扩展了其秘密扫描服务，以包括任何可能过期或特权时间过长的SAS令牌。

该公司安全团队声称：“该服务运行微软提供的SAS检测，标记指向VHD和私钥等敏感内容的AzureStorageSASURL。我们扩展了这种检测的规模，以包括任何可能具有过度许可的过期或特权的SAS令牌。”